Datenschutz

Consent-Management: No-Go-Areas vermeiden

01.12.2021 - Rechtskonforme Nutzereinwilligungen entscheiden über künftige Geschäftserfolge. Wie Sie Ihr Consent-Management organisieren, um No-Gos bei der Opt-In- Generierung zu vermeiden und Ihre Einwilligungsraten zu steigern.

von Frauke Schobelt

Die Nutzereinwilligung - der Consent - ist das neue Datengold für Werbetreibende. Wer rechtskonform personenbezogene Nutzerdaten für Marketingzwecke wie die Personalisierung von Werbung verwenden will, muss hierfür nach den Regeln der Datenschutzgrundverordnung (DSGVO) die aktive, informierte Zustimmung der NutzerInnen einholen.

Bei Nichtbeachtung und Rechtsverstößen drohen sehr hohe Bußgelder. Ohne Consent sind Daten künftig wertlos.

Doch die Interpretation von "aktiv" und "informiert" ist nicht immer eindeutig geregelt. Viele Website-BetreiberInnen nutzen jedes Schlupfloch, das rechtlich noch nicht vollständig gestopft ist, um möglichst viele NutzerInnen zur Zustimmung zu bewegen und so Daten für Trackingzwecke zu retten. Verwirrende und nervende Cookie-Banner sind die Folge. Mehr Klarheit soll die neue ePrivacy-Verordnung der EU schaffen, aber die lässt auf sich warten. Doch es gibt weitere Regularien, die Nutzereinwilligungen betreffen und die in den nächsten Monaten wichtiger werden.

TTDSG bringt mehr Klarheit

Zum 1. Dezember 2021 tritt das neue "Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien" (TTDSG) in Deutschland in Kraft. Der deutsche Gesetzgeber setzt darin - längst überfällig - die ePrivacy-Richtlinie vollständig um, den "Vorgänger" der ePrivacy-Verordnung. Das TTDSG soll der ePrivacy-Verordnung
in einigen Punkten vorgreifen und bestehende rechtliche Unsicherheiten beseitigen. Konkret verschärft das Gesetz viele Cookie-Regelungen und schafft weitere Bedingungen für das Einwilligungsmanagement.

Eine CMP stellt grundsätzlich nur ein Werkzeug dar; für die falsche Auswahl oder Anwendung haftet im Zweifel (auch) das nutzende Unternehmen.
(Ilan Leonard Selz , Rechtsanwalt und Senior Associate , Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte)
Ilan Leonard Selz , Rechtsanwalt und Senior Associate , Technologiekanzlei Schürmann Rosenthal Dreyer Rechtsanwälte (Bild: Schürmann Rosenthal Dreyer) Bild: Schürmann Rosenthal Dreyer

"Durch das TTDSG wird in erster Linie die nach der Rechtsprechung bereits geltende Einwilligungserfordernis für nicht-erforderliche Cookies noch einmal explizit festgehalten", erklärt Ilan Leonard Selz , Rechtsanwalt und Senior Associate bei der Technologiekanzlei Schürmann Rosenthal Dreyer   . Besonders interessant ist ihm zufolge außerdem eine neue Vorschrift, die eine Anerkennung von Diensten zur Einwilligungsverwaltung durch unabhängige Stellen vorsieht. "Dadurch könnten CMPs oder auch Browsereinstellungen künftig das Consent-Management mit noch größerer Rechtssicherheit erleichtern. Es bleibt jedoch abzuwarten, wie sich diese Vorschrift tatsächlich praktisch auswirkt", so Selz.

"Spannend und bisher auch nicht abschließend geklärt sind auch die Grenzen und die Reichweite von Cookies, die für die Bereitstellung der Website erforderlich sind", so der Datenschutz-Experte. Für diese muss grundsätzlich keine Einwilligung eingeholt werden. In den EU-Mitgliedstaaten gibt es jedoch unterschiedliche Auffassungen darüber, welche Analyse-Cookie erforderlich sind und welche nicht. Unternehmen sollten deshalb die Veröffentlichungen der deutschen und europäischen Datenschutz-Aufsichtsbehörden im Auge behalten. Marinus J. Stehmeier , Rechtsanwalt der Hamburger Datenschutzkanzlei Herting Oberbeck   , weist darauf hin, dass mit dem TTDSG die Zuständigkeit zur Überwachung des Einwilligungsvorbehalts zur Verwendung von Cookies bei dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) liegt. Auch Veröffentlichungen dieser Aufsichtsbehörde sollte man also kennen. Ebenso Entscheidungen in der Rechtsprechung zur konkreten Bannergestaltung. Das Landgericht Rostock hat in einem Urteil vom 15. September 2020 bereits das sogenannte Nudging untersagt (siehe Kasten S.52).

Klärungsbedarf bei Consent-Methoden

Datenschützer schauen beim Thema Consent mittlerweile sehr genau hin. Und sie rüsten im Kampf gegen DSGVO-Verstöße auf. So auch die Organisation Noyb.eu mit dem Österreicher Max Schrems an der Spitze. Die Datenschützer haben im Sommer eine Software vorgestellt, die verschiedene Arten von rechtswidrigen Cookie-Bannern erkennt und automatisch Beschwerden an die zuständigen Datenschutzbehörden generiert. Mehrere hundert sind bereits auf den Weg gebracht.

Auch gegen sogenannte Cookie-Paywalls von Verlagen zieht die Organisation zu Felde. Bei diesem "Pur-Modell" werden LeserInnen vor die Wahl gestellt: Entweder sie bezahlen für die angebotenen journalistischen Inhalte oder sie stimmen der Verwendung ihrer Daten für personalisierte Werbung und Tracking zu. "Die Einführung des Pur-Modells ist eine DACH-Markt-spezifische Erfindung, welche aktuell weltweit umgesetzt wird", erklärt Manuel Heydenreich , Sales Director DACH von CMP-Anbieter Sourcepoint   . "Consent wird hier mit einer Paywall-Strategie kombiniert, um sich gegen Walled Gardens wie Google und Facebook zu behaupten." Entscheidend sei dabei der First-Party-Daten-Ansatz.

Damit Consent-Managementsysteme Einwilligungen von NutzerInnen rechtskonform speichern dürfen, müssen sieben Kriterien erfüllt sein:
  1. Die Zustimmung muss freiwillig erfolgen.
  2. NutzerInnen der Seite müssen informiert sein (z.B. zumZweck der Verarbeitung der Daten)
  3. Die Zustimmung muss granular gegeben werden können.
  4. Die Zustimmung muss einfach und jederzeit widerrufbarsein.
  5. Die Zustimmung muss vor der Anwendung der Analyseund Marketing-Cookies gegeben werden.
  6. Die Zustimmung muss explizit sein.
  7. Der Seitenbetreiber ist verpflichtet, die Zustimmungen zu dokumentieren. Werden diese Punkte nicht eingehalten, ist dies ein Verstoß gegen die DSGVO und es drohen drastische und kostenintensive Sanktionen.

Noyb bezweifelt jedoch, dass eine so erlangte Einwilligung wirklich freiwillig sei, die Datenweitergabe werde mit "Wucherpreisen" quasi erzwungen. Interpretationen der Datenschutzbehörde Niedersachsen und des Europäischen Datenschutzausschuss EDSA legen jedoch nahe, dass Cookie-Paywalls durchaus DSGVOkonform sein können - sofern NutzerInnen mit der Bezahlung eine echte Alternative zur Datenweitergabe haben. Die haben sie bei Cookie-Walls dagegen nicht. Diese Barrieren vor einer Website können NutzerInnen nur umgehen, wenn sie akzeptieren, dass ihre persönlichen Informationen verarbeitet werden dürfen. Die "Guidelines des European Data Protection Board (EDPB)" von Mai 2020 schließen deshalb Cookie-Walls als gültige Consent- Methode für Websites aus.

Nutzereinwilligungen oft mangelhaft

Diese Interpretationsspielräume und oft auch Unwilligkeit zur rechtskonformen Umsetzung führen zu massenhaft fehlerhaften Implementierungen, wie 2020 eine Untersuchung der Datenschutzbehörden zeigte, für die 49 Websites von Medienunternehmen unter die Lupe genommen wurden. Ernüchterndes Ergebnis: Die meisten der geprüften Webseiten entsprechen nicht den rechtlichen Anforderungen. Sie fragen zwar in der Regel differenzierte Einwilligungen der NutzerInnen für die Verwendung von Cookies und Drittdiensten ab. In der Mehrheit der Fälle sind diese Einwilligungen allerdings nicht wirksam.

Dieses Bild deckt sich mit einer Studie der österreichischen Agentur E-Dialog. Demnach betreiben mehr als 80 Prozent der untersuchten Unternehmen in der DACH-Region Consent-Management - aber nur die wenigsten machen dabei alles richtig. Für den "Consent Management Report 2020" untersuchte E-Dialog 165 namhafte Websites, darunter die Präsenzen von der Deutschen Telekom, Rewe, Otto, TUI Deutschland und der Commerzbank. E-Dialog klopfte die Websites auf sechs Consent-Kriterien ab, bei deren Nichterfüllung Bußgelder oder Abmahnungen drohen.

Die richtige Gestaltung des Consent- Banners gestaltet sich schwieriger, da viele Anbieter verschiedene Konfigurationsmöglichkeiten bieten und die Rechtslage weiterhin unsicher ist.
(Marinus J. Stehmeier, Rechtsanwalt , Hamburger Datenschutzkanzlei Herting Oberbeck Rechtsanwälte)
Marinus J. Stehmeier, Rechtsanwalt , Hamburger Datenschutzkanzlei Herting Oberbeck Rechtsanwälte (Bild: Datenschutzkanzlei) Bild: Datenschutzkanzlei


76 Prozent der untersuchten Websites wiesen zum Teil deutliche Mängel auf. Besonders oft werden demnach DSGVO-Vorgaben für den Widerruf und der gleichwertigen Button-Gestaltung von "alle annehmen" und "alle ablehnen" missachtet.

Diese Versäumnisse können Unternehmen teuer zu stehen kommen. "Obwohl die DSGVO schon einige Jahre her ist, gibt es leider noch viele Unternehmen, deren digitale Touchpoints nicht datenschutzkonform sind", bemängelt Stefan Santer , Country Manager DACH von Didomi   . "Unternehmen riskieren nicht nur hohe Strafen, sie verlieren in erster Linie das Vertrauen ihrer KundInnen, wenn sie sich nicht an Vorschriften halten und die Einwilligung ihrer KundInnen für Datennutzung erfragen. Neben Kundenvertrauen ist Transparenz hier von ebenso hoher Bedeutung."

Consent sollte in den Mittelpunkt der digitalen Strategie aufgenommen werden.
(Stefan Santer, Country Manager DACH, Didomi)
Stefan Santer, Country Manager DACH, Didomi (Bild: Didomi) Bild: Didomi

So lassen sich Einwilligungsraten steigern

Als KPI gewinnt damit die Consent-Rate immens an Bedeutung und wird zum Wettbewerbsvorteil. Doch wie lässt sie sich steigern? "Offen mit den UserInnen kommunizieren und ihnen erklären, warum der Consent so wichtig ist", sagt Manuel Heydenreich von Sourcepoint. "Jedoch reicht es nicht aus, allein die reine Consent- Rate anzuschauen." Sourcepoint biete die Möglichkeit, diese auch nach UserInnen oder Page-Views zu analysieren. "Hier fällt auf, dass vor allem Fly-By-User weniger bereit sind, ihre Einwilligung zu geben, Heavy und Loyale User jedoch durchaus sehr hohe Consentraten haben. Der Fokus wird in Zukunft genau auf diesen UserInnen liegen."

Die Einwilligungsrate positiv beeinflussen können Unternehmen auch über das Design, ergänzt Tilman Harmeling, Entrepreneur in Residence, Usercentrics. Etwa mit farblichen Anpassungen an das Corporate Design oder das Hervorheben der Privacy-Lösung auf der Website. Auch technologisch lässt sich die Consentrate optimieren, beispielsweise über das programmatische Ausspielen der Privacy-Lösung, kontextuellen Consent oder einem incentivierten Opt-in, so Harmeling.

Ein Beispiel: Beim ersten Besuch wird der Webseite der Zugriff auf die Webcam/Handykamera des Nutzers oder der Nutzerin verweigert. Möchte dieser jedoch im späteren Verlauf z.B. Dokumente einreichen, Fotoüberweisungen tätigen, oder Accessoires im Online-Shop virtuell anprobieren, kann an diesen Stellen (kontextueller) Consent erneut abgefragt werden. "Die Wahrscheinlichkeit eines nachträglichen Opt-ins steigt", so die Erfahrung des Consent-Experten. Um das Potenzial der Einwilligungsraten voll auszuschöpfen, sei zudem konsequentes Testen (A/B-Testing) der Privacy-Banner "unabdingbar", so Harmeling.

Personenbezogene Daten sind nur mit Einwilligung der NutzerInnen etwas wert.
(Tilman Harmeling, Entrepreneur in Residence, Usercentrics)
Tilman Harmeling, Entrepreneur in Residence, Usercentrics (Bild: Usercentrics) Bild: Usercentrics

Aber auch andere Faktoren, die nur schwer steuerbar sind, haben Auswirkungen auf das Nutzervertrauen und damit die Consent- Rate. Unternehmen sollten sich daher entlang ihrer strategischen Planung hin zu mehr Datenschutz "proaktiv und NutzerInnen gegenüber transparent verhalten", so der Rat von Harmeling. Er verweist auf eine Erhebung von Gartner, nach der bis 2023 Unternehmen, die digitales Vertrauen schaffen können, in der Lage sein werden, sich an 50 Prozent mehr Ökosystemen zu beteiligen und so ihre Umsatzmöglichkeiten zu erweitern.

Angst vor Datenverlust

Laut der E-Dialog-Analyse setzen 92 Prozent der untersuchten Websites eine Consent-Management-Plattform (CMP) ein, um die Verwaltung der Nutzereinwilligungen zu erleichtern, rund 16 Prozent arbeiten mit einer Eigenentwicklung. Am meisten verbreitet sind demnach die CMP-Tools von Usercentrics, Cookiebot und One Trust. Usercentrics und der dänische Cookiebot-Betreiber Cybot machen jetzt gemeinsame Sache, im Oktober meldeten sie den Zusammenschluss.
No-Gos beim Einholen der Nutzereinwilligung:
  • Falsche Reihenfolge: Häufig werden einwilligungsbedürftige Drittdienste bereits beim Öffnen der Webseiten eingebunden und Cookies gesetzt - also noch vor der Einwilligungsabfrage.
  • Fehlende Informationen: Auf der ersten Ebene der Einwilligungsbanner werden zudem nur unzureichende oder falsche Informationen über das Nutzertracking gegeben.
  • Unzureichender Einwilligungsumfang: Selbst wenn der Nutzer oder die Nutzerin die Möglichkeit wahrnimmt, bereits auf der ersten Ebene des Einwilligungsbanners alles abzulehnen,
    bleiben zahlreiche Cookies und Drittdienste aktiv, die eine Einwilligung erfordern.
  • "Implizite" Einwilligung: WebseitenbesucherInnen werden mittels eines Banners darüber informiert, dass sie der Datenverarbeitung zustimmen, indem sie die Webseite weiterhin nutzen und weiterscrollen.
  • Kein Opt-out Button auf der ersten Ebene: Während bei allen Einwilligungsbannern auf der ersten Ebene eine Schaltfläche vorhanden ist, mit der eine Zustimmung zu sämtlichen Cookies
    und Drittdiensten erteilt werden kann, fehlt auf dieser Ebene häufig eine ebenso einfache Möglichkeit, das einwilligungsbedürftige Nutzertracking in Gänze abzulehnen oder das Banner ohne Entscheidung schließen zu können.
  • Inhalte hinter der Cookie Wall: Webseiten-Inhalte werden hinter sog. Cookie Walls versteckt und erst freigegeben, wenn NutzerInnen ihre Einwilligung zur Datennutzung gegeben haben.
  • Manipulation der NutzerInnen (Nudging): Die Ausgestaltung der Einwilligungsbanner weist zahlreiche Formen des Nudging auf. Das bedeutet, NutzerInnen werden unterschwellig zur Abgabe einer Einwilligung gedrängt, indem die Schaltfläche für die Zustimmung etwa durch eine farbliche Hervorhebung (z.B. Grün für den Annehmen-Button) deutlich auffälliger gestaltet ist als die Schaltfläche zum Ablehnen (z.B. unauffälliges Grau für die Opt-out-Möglichkeit), oder indem die Verweigerung der Einwilligung unnötig verkompliziert wird..


Eine internationale Usercentrics-Umfrage unter KMU zeigt, dass die Sensibilisierung für den Datenschutz deutlich gestiegen ist, doch im Vergleich zu anderen Ländern CMP-Tools in Deutschland weniger im Einsatz sind. Zwar steige die Nachfrage, so Tilman Harmeling. "Nichtsdestotrotz müssen Unternehmen Abwägungen treffen, wenn es um den Einsatz einer Consent-Management- Lösung geht." Um eine CMP einzubinden und erfolgreich und datenschutzkonform damit zu arbeiten, benötige das Unternehmen auch einen "Consent driven Workflow." Die Herausforderung: Die Unternehmen müssen Daten generieren, um ihre Einnahmequellen aufrechtzuerhalten, zum anderen aber auch das Vertrauen der NutzerInnen sichern und Bußgelder durch Datenschutzverstöße vermeiden. "Der Einsatz einer CMP geht oft auch mit dem Ansatz der Datenminimierung einher", so Harmeling.

Die Angst vor dem Verlust von Daten ist in vielen Marketingabteilungen groß. Diese sollten jedoch ihre Datenstrategie hinterfragen und grundsätzlich entscheiden, "ob sie eine proaktive oder reaktive Strategie in Bezug auf Privatsphäre und User Trust wählen, oder nur reagieren, weil eine Verordnung oder ein Gesetz sie zum Handeln zwingt", so Tilman Harmeling. Der Consent-Experte weist auf das weltweit verstärkte Aufkommen von Datenschutzgesetzen wie CCPA, LGPD, POPIA oder PIPL hin. Unternehmen sollten aktiv werden, "um für zukünftige Entwicklungen gewappnet zu sein".

Nicht nur auf die CMP verlassen

Doch auch wenn eine Content-Management-Plattform im Einsatz ist, können sich Unternehmen nicht einfach zurücklehnen, wie Aufsichtsbehörden in ihren Veröffentlichungen klarstellen. Denn eine Webseite oder App hat viele Konfigurationsmöglichkeiten. Durch den Einsatz des Consent-Tools werde daher keinesfalls automatisch eine datenschutzkonforme Einwilligung eingeholt. Auch erfüllen CMPs noch nicht alle Anforderungen an die im neuen TTDSG eingeführten Dienste zur Verwaltung von erteilten Einwilligungen. Solche Dienste erfordern nämlich zunächst eine Anerkennung im Sinne des neuen Datenschutzgesetzes. Die hat aber bisher keine CMP, da es diese Rechtsverordnung als Kriterienkatalog noch nicht gibt.

"Ein Großteil der gängigen CMP erlaubt inzwischen ein datenschutzkonformes Consent-Management, es gibt zum Teil aber auch noch Nachholbedarf", erklärt Rechtsanwalt Ilan Leonard Selz. Eine CMP sei zunächst nur ein Werkzeug; für die falsche Auswahl oder Anwendung hafteten im Zweifel (auch) die nutzenden Unternehmen.

"Ob diese den Anbieter der CMP hierzu in Regress nehmen kann, hängt jeweils von den Gegebenheiten im Einzelfall ab", ergänzt Rechtsanwalt Marinus J. Stehmeier. Grundsätzlich obliege es den BetreiberInnen, die CMP so in die eigene Website oder App einzubinden, dass dies den datenschutzrechtlichen Anforderungen genügt. Neben der technischen Funktionsfähigkeit der CMP betreffe dies auch die richtige Gestaltung des Consent-Banners. Diese gestaltet sich jedoch schwieriger, "da viele Anbieter hier verschiedene Konfigurationsmöglichkeiten bieten und zudem die Rechtslage weiterhin unsicher ist". Stehmeier empfiehlt Unternehmen, sich an einschlägigen Veröffentlichungen der Aufsichtsbehörden wie etwa der LfD Niedersachsen zu orientieren.

Auch kleinere Unternehmen sollten den CMP-Anbieter sorgfältig auswählen und sich mit den Konfigurationsmöglichkeiten auseinandersetzen, rät Rechtsanwalt Selz. "Insbesondere ist darauf zu achten, dass die gewählte CMP ein granulares Cookie-Management ermöglicht, die Beschreibungstexte der einzelnen Cookies aktuelle und zutreffende Angaben zum Cookie-Anbieter und zu der Speicherdauer enthalten und die Texte ggf. korrigiert werden können." Website- oder App-BetreiberInnen sollten zudem die konkrete Eingruppierung der Cookies (Analyse-, Marketing- und erforderlichen Cookies) prüfen und gegebenenfalls anpassen.
Mithilfe der CMP sollten Unternehmen zudem eine transparente Bannergestaltung umsetzen, bei der den WebsitebesucherInnen eine echte Wahlmöglichkeit zwischen "annehmen" und "ablehnen" geboten wird und detaillierte Einstellungsvarianten möglich sind.

Eine gewisse Vorsicht geboten sei laut Selz bei CMPs, die Einstellungen der WebsitebesucherInnen oder andere personenbeziehbare Daten in Nicht-EU-Staaten hosten. Hintergrund ist eine Entscheidung des Europäischen Gerichtshofes in der Rechtssache "Schrems II". "Unternehmen, die mit einer möglichen Drittstaatenübermittlung verbundenen datenschutzrechtlichen Risiken nicht überblicken, sollten daher eher europäische CMP-Anbieter mit Servern in der EU präferieren."

First-Party-Strategien gefragt

Um Werbeeinnahmen zu retten, entwickelte die Branche den Industrie-Standard "Transparency and Consent Framework (TCF)", den 2018 das Interactive Advertising Bureau (IAB) ins Leben gerufen und 2020 überarbeitet (TCF 2.0) hat. Er soll für mehr Transparenz sorgen und das digitale Werbe-Ökosystem dabei unterstützen, bei Nutzereinwilligungen die Richtlinien der DSGVO zu erfüllen.IAB TCF 2.0 bietet eine technische Standard-Infrastruktur für die Abfrage und Übermittlung der Nutzereinwilligung zwischen Publishern, Advertisern, Verlagen und ihren Technologiepartnern.
Der Standard zertifiziert auch Consent -Management-Plattformen. "Wer den Consent nicht nach aktuellem Industrie-Standard einholt, läuft Gefahr, dass die UserInnen dem Unternehmen nicht länger vertrauen", erklärt Manuel Heydenreich, Sourcepoint. "UserInnen wollen wissen, warum Daten erhoben werden und zu welchem Zweck diese dienen. Es ist deshalb enorm wichtig, dies den NutzerInnen zu erklären - diese Klarheit werden sie mit Vertrauen und Umsatz wertschätzen. Dass eine Privacy-First-Strategy ankommt, sieht man eindrucksvoll an Firmen wie Apple."

In Zukunft sollten Marketer zu 360-Grad- Privacy-ExpertInnen werden.
(Manuel Heydenreich, Sales Director DACH, Sourcepoint)
Manuel Heydenreich, Sales Director DACH, Sourcepoint (Bild: Sourcepoint) Bild: Sourcepoint

Klar ist: Spätestens 2023 - mit der Verbannung in Google Chrome - läuft die Zeit von Third-Party-Cookies endgültig ab. Mit gewaltigen Folgen: " Anzeigen ohne Cookies bringen 50-70 Prozent weniger Einnahmen - je nachdem welche Studie man heranzieht", so Stefan Santer von Didomi. Welche Alternativen sich durchsetzen werden, muss sich erst noch erweisen. Die Nutzereinwilligung wird dabei jedoch eine zentrale Rolle spielen, so Sauter. "Um bestmöglich darauf vorbereitet zu sein, sollte der Consent daher in den Mittelpunkt der digitalen Strategie aufgenommen werden." Sein Rat: Marketer sollten die Customer Journey genauer betrachten, angefangen mit der Erfahrung, die NutzerInnen machen, sobald sie sich einloggen. "Unternehmen sollten überlegen, ob sie ihre 'einfachen' opt-in/opt-out Einwilligungsbanner zu Präferenz-Management-Lösungen ausbauen, um mehr von ihren Kunden zu erfahren und besser auf die Kundenwünsche einzugehen."

Künftig spiele der First-Party-Daten-Ansatz eine sehr entscheidende Rolle, betont auch Manuel Heydenreich. " Im Brand- und E-Commerce Bereich sieht es aktuell noch etwas anders aus, der Wert des Consent wird hier aktuell erst deutlich. Insbesondere im Hinblick auf das Verschwinden der Third-Party-Cookies werden auch diese Bereiche zukünftig eine einwandfreie Consent-Privacy- Strategie benötigen."
Um First-Party-Daten zu generieren, gehe der Trend sehr stark in Richtung Registrierungs-Walls, so Heydenreich. Um UserInnen langfristig zu binden und deren Daten nutzbar zu machen, ist eine Registrierung nötig, die Userdaten werden an eine Mail-Adresse verknüpft, statt an einen Cookie. "Weltweit gibt es immer mehr Verlage, die sich darauf spezialisiert haben, UserInnen in einen Registrierungs-Funnel zu pushen." So werden mithilfe von First- Party-Cookies Bewegungsmuster von Usern erstellt, die helfen sollen, sie zunächst zu Newsletter-Abonnenten und später zu registrierten NutzerInnen zu machen. Im nächsten Schritt werden sie dann entweder direkt zu einem Abonnement geleitet oder auf Basis der eigenen First-Party-Daten vermarktet.

Auch wenn Unternehmen oder Websites keine Cookies aggregieren, heißt das nicht, dass sie keinen Consent benötigen, betont Tilman Harmeling von Usercentrics. Denn auch Web-Technologien wie Beacon oder Javascript können personenbezogene Daten erheben, diese lassen sich auch im Browser im Local Storage abspeichern. "Insofern benötigen alle Webtechnologien Einwilligungen, Cookies werden durch Consent abgelöst."

Consent-Management wird zu einer neuen wichtigen Marketingdisziplin

"Personenbezogene Daten sind künftig nur noch mit Einwilligung der NutzerInnen etwas wert", resümiert Harmeling. Das gilt auch für die neueren Formen des Trackings abseits von Cookies. "Die Akzeptanzrate ist ein Türöffner für den Marketingerfolg", so der Consent-Experte. "Transparenz darüber, was getrackt wird sowie die richtige Formulierung und Gestaltung des Banners sind hierbei die wichtigsten Faktoren. Vertrauen kann die Kundenbeziehungen stärken." Consent-Management entwickelt sich daher zunehmend zu einer wichtigen neuen Marketingdisziplin. "Marketers weltweit scheinen das Thema Privacy immer mehr in den Fokus zu nehmen und als weiteren Baustein neben Fraud Detection, Brand Safety und Ad Viewability anzuerkennen", ergänzt Manuel Heydenreich. Das stellt sie vor besondere Herausforderung, da sie rechtlich für Inhalte auf den eigene Portalen verantwortlich sind. "Zudem kaufen sie Media ein - und gerade hier sollten sie in Zukunft besser darauf schauen, ob diese mit den Daten Privacycompliant arbeiten. Es führt kein Weg daran vorbei: In Zukunft sollten Marketer zu 360-Grad-Privacy-ExpertInnen werden."

So optimiert man Cookie-Consent-Banner

  • Infoblock: Transparente Informierung der NutzerInnen zur Verarbeitung der Daten inkl. Links zu Widerrufsseite und Datenschutz

  • Wording: generell verständlich, explizit, brand-alligned und (wenn dann) positiv geframed ("Damit helfen Sie uns…" statt "Wenn Sie dem nicht zustimmen…")

  • Möglichkeit geben, sich für oder gegen das Setzen von Cookies generell zu entscheiden (keine Cookie-Walls)

  • Möglichkeit geben, Cookies individuell abzulehnen z.B. durch Klick auf subtilen Einstellungs-Button, statt One-Click-Lösungen zu nutzen

  • Funktionstüchtigkeit der Website auch bei Ablehnungen weitestgehend garantieren

  • Cookies erst nach der Zustimmung setzen

  • Falls nötig, Einrichten von Contextual Consent (nachträgliche/ zusätzliche Zustimmung beim Zugriff auf externe Inhalte z.B. YouTube-Videos), Cross-Domain-Consent (auch gültig für Geschwister- oder Subdomains) und Cross-Device-Consent (gültig auf mehreren Geräten)

Best-Practice-Modell: Die Studie "Innovatives Datenschutz- Einwilligungsmanagement"   des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) stellt anhand eines konkreten Best Practice-Modells vor, wie sich die Vorgaben der DSGVO rechtskonform und nutzerfreundlich umsetzen lassen. Und welche Anforderungen erfüllt werden müssen.

Ihr Guide im New Marketing Management - ab 6,23 im Monat!

Hat Ihnen diese Beitrag weiter geholfen? Dann holen Sie sich die ONEtoONE-Premium-Mitgliedschaft. Sie unterstützen damit die Arbeit der ONEtoONE-Redaktion. Sie erhalten Zugang zu allen Premium-Leistungen von ONEtoONE, zum Archiv und sechs mal im Jahr schicken wir Ihnen die aktuelle Ausgabe.

Vorträge zum Thema:

  • Bild: Markus Bückle
    Markus Bückle
    (econda GmbH)

    Die Herausforderungen im Datenschutz 2023 bewältigen

    Datenschutzkonforme Personalisierungs- und Analyticslösungen werden für die Zukunft immer wichtiger. Wir zeigen Dir, welche Möglichkeiten Du 2023 einsetzen musst, willst Du nicht mit der Zukunft Deines Unternehmens spielen.

    Diese Herausforderungen gibt es 2023 durch den Datenschutz:

    • Wie Personalisierung und Analysesoftware Dein Fachpersonal entlasten können.
    • Wie Du das Kostenargument bewältigst
    • Wieso 2023 der Einsatz von Google Analytics rechtlich bedenklich ist und von vielen Kunden auch schlicht abgelehnt wird.
    • Wie Du Deinen Datenbestand datenschutzkonform selbst aufbaust statt ihn an US-Anbieter zu veschenken

    Vortrag im Rahmen der Zukunftskonferenz 2023. Trends für ECommerce, Marketing und digitales Business am 07.12.22, 10:05 Uhr

www.hightext.de

HighText Verlag

Mischenrieder Weg 18
82234 Weßling

Tel.: +49 (0) 89-57 83 87-0
Fax: +49 (0) 89-57 83 87-99
E-Mail: info@onetoone.de
Web: www.hightext.de

Kooperationspartner des

Folgen Sie uns:



Besuchen Sie auch:

www.press1.de

www.ibusiness.de

www.neuhandeln.de